Cramm-modell
| Ezt a szócikket át kellene olvasni, ellenőrizni a szöveg helyesírását és nyelvhelyességét, a tulajdonnevek átírását. Esetleges további megjegyzések a vitalapon. |
A Cramm-modellt a Central Computer and Telecommunation Agency (Egyesült Királyság) által kidolgozott kockázatelemzési és -kezelési módszertan (CCTA Risk Analysis and Management Method), amely információs rendszerek érzékeny adatai számára hiteles védelmet nyújt. A módszertan részletesen tárja fel az egyes fenyegetések kockázatait, azonban idő- és erőforrás igénye nagy, ezért gyakorlati alkalmazása költséges. A szintén angol IT Infrastructure Library (ITIL) ajánlás a CRAMM modellt javasolja kockázatmenedzselésre.
A CRAMM támadási modell azt szimbolizálja, hogy alapvetően három dolog kell a biztonsági esemény bekövetkezéséhez (a támadáshoz):
- fenyegetés,
- sebezhetőség, amin keresztül a fenyegetés kifejti a hatását (amin keresztül a támadás megindítható), ez lehet magában a védelemben is,
- cél, amiben/amivel kárt lehet okozni(vagyontárgyak értéke).
Történet
szerkesztésA CRAMM (CCTA Risk Analysis and Management Method) módszertant 1987-ben alkotta meg az Egyesült Királyság kormányának Központi Számítógépes és Telekommunikációs Ügynöksége (Central Computers and Telecommunications Agency, CCTA). A számos frissítés után, ma már az 5.ik változat került kidolgozásra. A kockázatelemzés illetve kezelés három szinten történik, mindegyik átfogó kérdéssorral illetve útmutatóval támogatott. Az első két szint azonosítja és analizálja a rendszerkockázatokat. A harmadik szint a kockázatokra kezelési útmutatókat kínál. A CRAMM-modell a következő három szintből épül fel:
Az első szint Itt kerülnek megállapításra a biztonsági szempontok:
- meghatározásra kerül a kockázatelemzés illetve kezelés hatóköre
- azonosításra és értékelésre kerülnek a rendszer vagyonelemei
- azonosítják a vagyonelemeket, feltárják az üzleti hatásokat, melyek sértik a vagyonelem rendelkezésre állási, bizalmassági, és sértetlenségi kritériumait
A második szint Itt történik meg a kockázat értékelése a javasolt biztonsági követelmények szerint.
- azonosítása és megállapítása a fenyegetések típusának és fokának, melyek a rendszerre potenciális veszélyt jelentenek
- a rendszer sérülékenységeinek összeállítása, melyeken keresztül a fenyegetés érvényre juthat
- a fenyegetés illetve a sérülékenységi halmaz összevetése, és kockázati értékek becslése belőlük
A harmadik szint Melynek során kerül megállapításra illetve kiválasztásra azon ellenintézkedések, melyekkel kockázatarányos védekezést lehet megvalósítani, a 2-es szinten feltüntettek szerint.
CRAMM széles ellenintézkedési gyűjteményt foglal magában, több mint 3000-et, melyek több mint 70 logikai csoportba lettek foglalva.
Felhasználás
szerkesztésA CRAMM modellt használják például a NATO-ban, a Német hadseregben.
Gyakorlati megvalósulás
szerkesztés- Vagyonleltár: a vagyontárgy azonosítása, értékelése,
- Sebezhetőségvizsgálat,
- A lehetséges, releváns fenyegető tényezők számba vétele,
- A sikeres támadáshoz szükséges támadható felületek (sebezhetőségek) azonosítása,
- Kockázatértékelés: a sikeres támadás valószínűségének, és az azon keresztül a vagyontárgyban okozott kár mértékének becslése,
- Védelmi intézkedés tervezése és bevezetése,
- Védelmi intézkedés működtetése, ellenőrzése,
- Kockázatok újraértékelése.
Források
szerkesztés- Krasznay Csaba: Az információ biztonság alapjai előadásfóliák
- https://web.archive.org/web/20080524163719/http://www.itb.hu/ajanlasok/a7/html/a7_5-5.htm
- http://www.itsmsolutions.com/newsletters/DITYvol2iss8.htm
- https://en.wikipedia.org/wiki/CRAMM